guestbook.php注入,Destoon 6.0 guestbook.php 通用SQL注入漏洞

最新推荐文章于 2021-04-22 19:10:51 发布
最新推荐文章于 2021-04-22 19:10:51 发布
阅读量493 收藏
点赞数
文章标签: guestbook.php注入

来源: https://www.leavesongs.com/PENETRATION/destoon-v6-0-sql-injection.html

作者: phithon

44bab7ccdf96bcb16f4f1444335dc60e.png

刚看到今天发布了Destoon 6.0 2017-01-09 更新,用我在【代码审计】小密圈里说过的方法,瞬间找到修复的一处SQL注入漏洞。用中午的20分钟,小小地分析一下。

我们先看看diff(左新右老):

70d2c2da2330d1baffa95f0aa2d32306.png

mobile/guestbook.php 中将$_SERVER['HTTP_USER_AGENT']删掉了。分析一下,这里是手机端的留言板,destoon将用户的User-Agent放入了留言内容变量$post[content]中。

而据我对destoon的了解,其全局对GPC做了转义和WAF,但User-Agent没有进行过滤,所以这里有可能存在一个SQL注入漏洞。

所以往后看看吧,其调用了guestbook类的add方法,将$post变量传入:

function add($post) {

$post = $this->set($post);

$sqlk = $sqlv = '';

foreach($post as $k=>$v) {

if(in_array($k, $this->fields)) { $sqlk .= ','.$k; $sqlv .= ",'$v'"; }

}

$sqlk = substr($sqlk, 1);

$sqlv = substr($sqlv, 1);

$this->db->query("INSERT INTO {$this->table} ($sqlk) VALUES ($sqlv)");

return $this->itemid;

}

这里调用了$this->set($post)进行处理,跟进:

function set($post) {

global $DT_TIME, $_username, $DT_IP, $TYPE;

$post['content'] = strip_tags($post['content']);

$post['title'] = in_array($post['type'], $TYPE) ? '['.$post['type'].']' : '';

$post['title'] .= dsubstr($post['content'], 30);

$post['title'] = daddslashes($post['title']);

$post['hidden'] = isset($post['hidden']) ? 1 : 0;

if($this->itemid) {

$post['status'] = $post['status'] == 2 ? 2 : 3;

$post['editor'] = $_username;

$post['edittime'] = $DT_TIME;

} else {

$post['username'] = $_username;

$post['addtime'] = $DT_TIME;

$post['ip'] = $DT_IP;

$post['edittime'] = 0;

$post['reply'] = '';

$post['status'] = 2;

}

$post = dhtmlspecialchars($post);

return array_map("trim", $post);

}

简单分析可以发现,以下几点:

content 有如下过程:strip_tags -> htmlspecialchars -> trim

title 有如下过程:in_array($post['type'], $TYPE) ? '['.$post['type'].']' : '' -> substr($post['content'], 30) -> addslashes -> trim

先看content,因为destoon中的htmlspecialchars是设置了ENT_QUOTES参数的,所以单引号也被转义了,我们无法直接逃逸出单引号,但因为\没有转义,所以我们可以利用content来消灭掉一个单引号。

紧跟其后的title,又是从content中截取了三十个字符(令$post['type']为空),所以我们大概可以构造出这样一个content: ,user(),0,0,0,0,0,0,2);...\

最后执行的SQL语句如下:

5de4bf87ec7ad8f10d0b82fd65f72fa0.png

但上述SQL语句有个问题,因为原信息有一部分--来自','0','','1484286570','10.211.55.2','0','','2')是被我们抛弃了,这部分又没法注释(因为有换行),在执行的过程中就会出错,导致执行失败。

怎么办呢?

其实这里之所以不能执行,就是因为有一个换行符\n,但因为前面存在一个 substr($post['content'], 30) ,所以我们只需要将长度设置的大于30,就能让换行符被切掉。

所以,我最后得到的payload如下:,0,0,0,0,0,0,user(),3)##########,再将UA最后一位设置为\,如下图:

4a9497a787b883a2b4def23a34b40647.png

就能成功在reply的位置注入信息出来啦:

d683b05e8c9d4e9c42bd8f27c19e8989.png

不过大家也看到了,这个注入有个30字符的限制,所以要注意一下几点:

怎么绕过长度限制,这个集思广益吧

一定要以游客身份留言,否则会有更多没意义的键使长度限制更大

长度限制绕过

【代码审计】小密圈中,@雨了个雨 师傅提出,登录用户其实是可以注入出管理员账号密码的。

我们翻一下diff前面的代码就可以发现,登录用户其实是有很多可控字段的:

if($do->pass($post)) {

$post['type'] = '';

if($_userid) {

$user = userinfo($_username);

$post['truename'] = $user['truename'];

$post['telephone'] = $user['telephone'] ? $user['telephone'] : $user['mobile'];

$post['email'] = $user['mail'] ? $user['mail'] : $user['email'];

$post['qq'] = $user['qq'];

$post['msn'] = $user['msn'];

$post['ali'] = $user['ali'];

$post['skype'] = $user['skype'];

}

$do->add($post);

exit('ok');

}

如truename、telephone、email、qq、msn、ali、skype等,我们只需要找到其中可以控制内容的字段,用多个字段拼接的方法绕过长度限制。我就不细说了,有兴趣可以去看看 @雨了个雨 给出的POC。

最后感叹一下前一个方法吧,有意思的一点在于,他和很多CTF里出现的题目一样,但又是那么巧合——巧合的是,content前面的部分进行了addslashes,最后的部分没有addslashes,却有htmlspecialchars。也就说,后面的部分没有单引号,却有反斜线;前面的部分没有反斜线,却有多出来的一个单引号。二者相结合,构成了一个SQL注入漏洞。

最后,请使用者尽快升级20170109版本吧,以修复这个漏洞。

===分割线===

本文由 Seebug Paper 发布,如需转载请注明来源。本文地址:https://paper.seebug.org/183/

韩莹莹
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
destoon注入漏洞
qq_34862577的博客
02-28 2833
漏洞名称:destoon注入漏洞漏洞等级: 高危披露时间:2017-03-22 08:59:13漏洞类型:Web-CMS漏洞漏洞描述:在php5.2下可以绕过waf,利用没有正确过滤的变量进行注入。【注意:该补丁为云盾自研代码修复方案,云盾会根据您当前代码是否符合云盾自研的修复模式进行检测,如果您自行采取了底层/框架统一修复、或者使用了其他的修复方案,可能会导致您虽然已经修复了该漏洞,云盾依然报告...
destoon6.0模板蓝色宽屏B2B行业网站源码 最新完整版+手机版
09-17
destoon6.0模板 ST05蓝色宽屏B2B行业网站源码最新完整版+手机版,UTF8编码,修复会员中心-顶部显示错位,兼容各种主流浏览器,专为各类行业站量身打造的模板。 主要开发模板有:首页,商城频道,供应频道,求购频道,公司频道,品牌频道,招商频道,资讯频道,商圈频道,积分频道,关于我们单页,意见反馈,会员中心等。 开发新增:VIP介绍频道,帮助中心,签到功能。
guestbook.php注入,TinyGuestBook 'sign.php'多个SQL注入漏洞
weixin_39797381的博客
03-09 209
发布日期:2012-09-23更新日期:2012-10-04受影响系统:TinyGuestBook TinyGuestBook描述:--------------------------------------------------------------------------------BUGTRAQ ID: 51259CVE ID: CVE-2011-5201TinyGuestBook是个...
DESTOON6.0 无版权精简开发版
05-12
此版本为最新6.0(2016-03-16更新)无版权清爽开发版本,去掉了安装时的DESTOON版权提示,及安装完成后后台所有版权提示。
destoon6.0仿1688UTF8-b2b整站数据 不带整站图片附件+手机WAP版
www_5438xiazai的博客
04-22 235
介绍: 这套最新destoon6.0仿1688UTF8-b2b整站数据及手机WAP版带整站数据,并不带整站图片附件,介意的小伙伴请勿下载。 destoon内核用于B2B站一直广受欢迎,在这里不多介绍 网盘下载地址: http://kekewangLuo.cc/CSLv7oizPgO0 图片: ...
Ex-guestbook.rar_Ex-guestbook.rar_GuestBook
09-14
PHP脚本(如guestbook.php)会处理这些数据,进行验证(如防止SQL注入)并保存到数据库。 3. 数据展示:另一个PHP脚本(可能为index.php)负责从数据库中获取已存储的留言,并将其显示在页面上。这通常通过查询语句...
guestbook.sql
09-10
SQL 运行文件,用于 Navical 创建表(message、trole、tuser)使用,创建表后右键选择“运行SQL文件”即可执行。
php+mysql+毕业设计源代码】Bunuo Guestbook guestbook.rar
01-10
后台框架代码:java/c/c++/php/VB/lun/Andorid/Python 开发环境:idea 数据库:MySql(建议用 5.7,8.0 有时候会有坑) 部署环境:Tomcat(建议用 7.x 或者 8.x b版本),maven Spring root vue.js
GuestBook_PHP_SQL.rar_GuestBook
09-24
这可能通过检查和过滤用户输入以防止SQL注入攻击,以及可能的XSS(跨站脚本)防护来实现。 5. **文件上传与存储**:由于提到了"网络硬盘系统"和"在线存储",GuestBook系统可能还支持文件上传功能,让用户能够分享...
php+mysql+毕业设计源代码】PHP文本留言本_guestbook.rar
最新发布
01-10
后台框架代码:java/c/c++/php/VB/lun/Andorid/Python 开发环境:idea 数据库:MySql(建议用 5.7,8.0 有时候会有坑) 部署环境:Tomcat(建议用 7.x 或者 8.x b版本),maven Spring root vue.js
destoon6.0商务中心模板 destoon6.0新版会员中心
04-01
destoon6.0新版会员中心 destoon6.0商务中心模板 内附效果图
Destoon(B2B网站系统) 6.0 GBK 20171011.zip
05-24
Destoon(B2B网站系统)使用当前流行的PHP语言开发,以MySQL为数据库,采用B/S架构,MVC模式开发。融入了模型化、模板、缓存、AJAX、SEO等前沿技术。与同类产品相比,系统功能更加强大、使用更加简单、运行更加稳定、安全性更强,效率更高,用户体验更好。系统开源发布,便于二次开发、功能整合、个性修改。 Destoon 6.0 GBK 20171011 更新日志: [修复]手机版留言存在SQL注入漏洞;[修复]Kindeditor编辑器插入视频无法在手机版播放;[修复]分类设置了SEO信息没有优先显示;[修复]快钱支付接口无法支付成功;[修复]易宝支付错误信息未正确保存;[更新]常用支付接口申请地址;[更新]最新QQ视频匹配播放规则;[优化]Memcache服务无法连接时自动切换到文件缓存。
PHP Guestbook-开源
04-23
该留言簿是用PHP编写的,具有基于Web的配置,并且基于MySQL数据库和/或用于存储配置和条目数据的文本文件。
php留言板guestbook无需数据库xml的超简单学习
08-03
2018年无需数据库,虚拟主机可用很简单的php文本xml留言板guestbook,注释是英文的,文件结构并不复杂,一般懂点php的都能搞明白。文件齐全不缺文件,传到虚拟主机就能用哦!
destoon7.0 GBK编码网站转UTF-8编码
destoon.cc网站专家的博客
03-28 422
来源:https://www.destoon.cc/news/txtlist_i726v.htmlDESTOON V7.0不再支持GBK版本,之前版本的网站需要按本教程转换为UTF-8版本,然后升级至最新。1、安装与GBK版本一致的UTF-8版本的DESTOON,表前缀保持一致 2、登录GBK版本后台,数据维护,强制字符集选择UTF-8,然后备份数据 3、将备份好的数据导入到新的UTF-8数据库,...
dedecms安全漏洞之/plus/guestbook/edit.inc.php如何解决?
qq_31763129的博客
08-18 3696
找到如下代码 $dsql->ExecuteNoneQuery("UPDATE `#@__guestbook` SET `msg`='$msg', `posttime`='".time()."' WHERE id='$id' "); 替换成 $msg = addslashes($msg); $dsql->ExecuteNoneQuery("UPDATE `dede_guest...
destoon6.0标签使用之 and和&的使用
weixin_34208283的博客
02-12 134
and为并列条件,&为包含条件and条件必须排在,&条件前面 正确写法: 正确:<!--{php $tags=tag("moduleid=$moduleid&length=42&condition=status=3 <span style="color:#ff0000;">and level=5 &catid=$catid</span...
destoon php文件,Destoon模板制作简明教程
weixin_28681379的博客
03-18 198
对于制作Destoon的模板来说,首先需要理解两个Destoon的概念:模板(template)和风格(skin)。模板存放于系统template 目录,风格(系统界面的图片、css文件)存放于系统skin目录,也就是说,template放置页面文件,skin放置样式文件。Destoon模板制作过程:首先,把template和skin文件夹下原有的default文件夹各复制拷贝一份,同时改名为ne...
阿里云提示漏洞destoon变量覆盖导致延时注入
weixin_34060299的博客
08-18 282
出现漏洞 .../module/mall/my.inc.php .../backup/module/mall/my.inc.php 修复方法: my.inc.php里面所有的extract函数加上, EXTR_SKIP参数就可以 比如extract($item);修改成extract($item,EXTR_SKIP); ...
PHP轻松解析XML:SimpleXML组件详解
$xmlString = '<thread><title>Welcome</title><author>Simon</author><content>Welcome to XML guestbook!!</content></thread>'; $simpleXmlObject = simplexml_load_string($xmlString); ``` 同样,如果XML数据...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值